Aktivt forsvar af ICS/OT

Introduktion til NSM i ICS … Søg og du skal finde

ics2secure.com

Om …

ics2secure.com

Rule Om_Michael_Weng{

meta:date = ”24. juni 2017”author = ”Michael Weng, CISSP”description = ”Ejer af ics2secure.com & Senior ICS/OT Cyber Security Advisor”

strings:$a=”Tilknyttet Novo Nordisk koncernen i 16 år, primært i Produktionen” ascii wide$b=”Løsningsdesign, Projektledelse, Validering, Drift, Netværk, Cyber Security” ascii wide$c=”Specialiseret i NSM i ICS/OT miljøer de seneste 2 år” ascii wide$d=”Threathunter, NSM” ascii wide$d=”SANS ICS515, SANS SEC 511” ascii wide$e=”Weng Security Consulting, 2900 Hellerup, +45 3029 3079, info@ics2secure.com”

condition:all of the above

}

Status i ugerne efter WannaCry …

ics2secure.com

Det gik jo godt, men kun fordi en ung englænder fandt en kill-switch, der neutraliserede den værste trussel …

Så vi var heldige … denne gang!!?

ICS/OT systemer er stadig sårbare fordi virksomhederne

stadig ikke kigger efter trusler …

Hvis ICS/OT er så sårbart …

ics2secure.com

… hvorfor ser/hører vi så ikke (om) flere angreb / kompromitteringer?

• (ingen) Intention• (manglende) Motivation

Der mangler visibilitet og gennemsigtighed i vores ICS/OT netværk!!?

… det bør ikke være CfCS eller andre, der banker på og fortæller, at man som virksomhed er blevet kompromitteret …

Bliver man ’hacked’/får Ransomware…

ics2secure.com

Kan man som virksomhed eller kritisk infrastruktur leverandør ikke levere

• varer/produkter (Mælk, Kød, Cement, Pumper, Medicin …)• vand/varme• elektricitet• telefoni

Med andre ord bliver man ramt på forretningen direkte … Det koster produktion og måske hele forretningsgrundlaget til slut …

… og det kan ligeledes have en stor national konsekvens …

Kend dit netværk …

ics2secure.com

Rob Joyce, NSA, Head of TAO @ USENIX Enigma 2016 …

Mitigation Guidance key take-away is ”Know thy network … if you reallywant to protect it … because we will spend time learnning it better thanyou … to compromise it”

Hvis du er ansvarlig for et ICS/OT netværk bør du have set denne præsentation allerede …

Det handler om gennemsigtighed og synlighed … kend og forstå dit netværk … brug NSM (Network Security Monitoring)

Reaktivt vs. Aktivt forsvar

ics2secure.com

Vi ved i dag, at de præventive kontroller før eller siden vil fejle … Og fremmede vil dermed kunne få adgang til vores systemer …

Vi skal ikke undlade at have de præventive kontroller, men udvide vores forsvar …

Vi skal tilføje proaktiv netværksovervågning … NSM

Network Security Monitoring … Defense is doable

(Forsvar af ICS/OT er muligt…)

Network Security Monitoring

ics2secure.com

”The collection, analysis, and escallation of indications and warnings to detectand respond to intrusions. NSM is a way to find intruders on your network and do something about them before they damage your enterprise.”

- The practise of network security monitoring, Richard Beijlitch

NSM cyklus

ics2secure.com

Opsamling

DetektionAnalyse

Model for proaktiv indsats, baseret på data fra netværket

Kræver mennesker og processer, ikke kun teknologi

Fokus på modstanderen, ikke på svagheden i systemerne

Metode

ics2secure.com

• Network tap – Fysisk dims der (passivt) kopierer netværkstrafikken ud til en sensor

• SPAN eller mirror port – Switchbaseret konfiguration, der ligeledes kopierer trafikken på switchens porte (passivt) til en separat port, hvor sensoren så sidder og lytter

• Host NIC – konfigureret til at overvåge al trafik der flyder igennem (sidder oftest direkte på en sensor)

• Seriel port tap – fysisk dims der (passivt) kopierer seriel data trafik til en anden port, kræver oftest special software til at oversætte de serielle data

Hvilke data skal man opsamle

ics2secure.com

• Full content data – ufiltreret opsamling af pakker

• Extracted content – data streams, filer, web sider, etc.

• Session data – trafik imellem noder (5 tuple data)

• Transaction data – forspørgelser og svar mellem noder

• Statistiske data – beskrivelser af trafik såsom protokol og volumener

• Metadata – aspekter af data som f.eks. hvem ejer denne ip adresse

• Alarmer/Log data – triggere fra FW, IDS, bruger logs, Event logs

Besværlige forhold for NSM i ICS/OT

ics2secure.com

• Krypterede netværk

• Overdreven brug af NAT

• Mobile enheder der bevæger sig rundt imellem netværkssegmenterne

• Ekstreme data trafikmængder

• Personlige data

TVÆRTIMOD!!!

Eksempel ICS/OT

ics2secure.com

Enterprise

DMZ

Manufacturing

Control

Device

SIS

Angribers målsætning

ics2secure.com

Angribers mål:• Ødelægge produktionsudstyr• Påvirke eller stjæle proces info• Påvirke sikkerhed eller compliance• Bevæge sig (pivot) fra ICS/OT til ERP

Angribers muligheder:• Opnå fysisk adgang• Opnå fjernadgang• Udnytte administrator maskiner med adgang til ICS/OT

NSM Opsamling

ics2secure.com

• Firewall logfiler• Sessions Data• NIDS/HIDS logfiler• Komplet pakke-data (Full packet capture)• Windows logfiler og syslog filer• SNMP (CPU % etc.)• Alarmer fra div. (sikkerheds) agenter (AV, Whitelising, etc.)

Hvad skal man kigge efter

ics2secure.com

• Baseline afvigelser• Top kommunikatorer• Uventede forbindelser• Kendte ’onde’ ip adresser og domæne navne• Brug af ’default login’• ’out-of-band’ logins• Fejlmeddelelser i sammenhæng med svagheder• Usædvanlige system og firewall logninger• Hostbaserede IDS eller Endpoint sikkerheds alarmer• Uventede filopdateringer (f.eks. Firmware opdateringer)• Uventede nye Services eller programmer

NSM Detektion – at gå på jagt

ics2secure.com

Analytiker ser på de fundne anomale data (mønstre) eller alarmer og eskalerer til Incident Response hvis det findes nødvendigt

• IDS alarmer• Anomale opdagelser• Firmware opdateringer• Default login• Høj CPU eller båndbredde• Døralarm i utide• Enheder der går ’off-line’ af sig selv eller anden usædvanlig opførsel

NSM Analyse

ics2secure.com

• IR analyserer de fundne anormaler for at finde evt. ’onde’ artefakter

• Applikationsudnyttelser (exploits)• 3die parts forbindelser• ICS specifikke protokol angreb (sjældne)• Fjernadgangsudnyttelse (exploits)• Tunneler (udgående)• Direkte adgang til intranet (Fysisk)• USB overført malware

NSM Værktøjer

ics2secure.com

Open Source = Gratis (Fuld support via youtube, GitHub, Google)

Pcaps – Wireshark/NetworkMinerLogs – Syslog

BRO IDSSnort IDSSuricata

IDS GUI’s - squil

… Wireshark er din nye bedste ven!!!

Et NSM værktøj for alle 7 data typer

ics2secure.com

Security Onion (SO) – gratis Linux distro

Full packet capture – Tcpdump/Wireshark/NetworkMinerExtracted – xplico/NetworkMinerSession – BRO/FlowBATTransactional – BROStatistical – capinfos/WiresharkMeta – ELSA (og Whois)Alerts – Snort/Suricata/squil, Snorby

NetFlow værktøjer

ics2secure.com

• SiLK & FlowBAT – Kan installeres i SO nemt og direkte

Security Onion Implementering

ics2secure.com

Nemt, Hurtigt, Gratis …

•Test i lab først• Vælg passende HW med megen RAM og stor HD• Mirrored/SPAN porte på switche eller en god netværks tap• Gennemtænkt og velvalgte sensor placeringer

•Og ALTID i dialog med primære intressenter fra Produktionen

Mennesker (Analytiker)

ics2secure.com

… er den vigtigste del af NSM!

•GB af data & 1000s af IDS alarmer er ubrugelige uden tolkning …

• Analyser de opsamlede data for at forstå det normale – så lærer man hvad det unormale er …

• Identificer dine modstanderes TTPs og udfør målrettet handling for at forhindre dem …

Tak til

ics2secure.com

• Chris Sistrunk (Mandiant) for inspiration (DEF CON 23 NSM 101 for ICS)• Doug Burks (Security Onion) for pulling an awesome tool together• Robert M. Lee (SANS ICS515) for teaching an awesome class of IR & Active Defense in ICS• Robert M. Lee (Dragos) for making CyberLens• Robert M. Lee (Dragos) for making ”Little Booby – SCADA and Me”• Eric Conrad (SANS SEC511) for teaching an awesome class of Continued Monitoring• Richard Bejlich (Taosecurity) for writing awesome books about NSM

•Publikum for at lytte og stille ode spørgsmål …

Husk … det ER muligt at forsvare sit ICS/OT miljø (Defense is doable…)

www.ics2secure.comTuborgvej 56 1.Tv., 2900 Hellerup+45 3029 3079info@ics2secure.com